米FDA、心臓ペースメーカーのリコール発表 脆弱性を突かれ患者に危害が及ぶ恐れ

脆弱（ぜいじゃく）性を悪用されれば、患者のペースメーカーに他人が不正アクセスしてプログラミングコマンドを改ざんできてしまう恐れがある。

[鈴木聖子，ITmedia]

対象となるAbbottの心臓ペースメーカーの1つ「Quadra Allure MP RF」

　米食品医薬品局（FDA）は8月29日、米医療機器メーカーAbbott（旧St. Jude Medical）の植込み型心臓ペースメーカーについて、患者に危害を加えられる恐れもある脆弱（ぜいじゃく）性が見つかったとして、リコールを発表した。患者や医師に対し、次回診察の際にファームウェアの更新について相談するよう呼び掛けている。

　影響を受けるのはAbbottのRF（無線）対応植込み型心臓ペースメーカーおよび心臓再同期治療ペースメーカー（CRT-P）で、米国内で46万5000台が対象になる。一方、植込み型除細動器（ICD）や両室ペーシング機能付き植込み型除細動器（CRT-D）は影響を受けないとしている。

　脆弱性を悪用された場合、他人が市販の機器を使って患者のペースメーカーに不正アクセスし、プログラミングコマンドを改ざんできてしまう恐れがある。バッテリーを急激に消耗させたり、不適切なペース配分を設定されたりすれば、患者に危害が及びかねない。

　Abbottはファームウェアのアップデートでこの脆弱性を修正し、FDAの承認を受けて8月29日から米国で提供を開始した。アップデートは自宅では適用できず、患者が医療機関を受診する必要がある。

　ただ、アップデートの適用は、確率は非常に低いもののリスクを伴うことから、FDAは患者に対し、かかりつけの医師を受診して、アップデートを適用すべきかどうか相談するよう助言している。

FDAが公開した脆弱性に関する情報

　St.Jude Medicalの心臓ペースメーカーは過去にも脆弱性が発覚したことがある。この時は自動的に適用されるパッチの配信で対処していた。FDAはペースメーカーなどの医療機器について、「インターネットや病院のネットワーク、他の医療機器、スマートフォンなどを経由して相互接続される医療機器が増える中、サイバーセキュリティ脆弱性を悪用されるリスクも増大する」と警鐘を鳴らしている。